Sårbarhet setter webteknologi på vent

Både Mozilla og Opera deaktiverer støtten for WebSockets.

Flere av de store nettleserleverandørene tilbyr eller har planer om å tilby støtte for WebSocket i sine nettlesere. WebSockets består av både et programmeringsgrensesnitt, som W3C har ansvaret for, og en protokoll, som IETF har ansvaret for.

WebSocket skal gi mer effektiv toveis kommunikasjon mellom webapplikasjoner på den ene siden og servere på den andre siden, enn det som er mulig med flere HTTP-forbindelser.

Nylig ble det oppdaget et stort sikkerhetsproblem med WebSocket. Dette går ut på at det er mulig «å forgifte» transparente proxyer som sitter mellom brukeren og storparten av Internett, slik at disse leverer alle brukerne ondsinnet kode i stedet for mye brukt innhold. Google Analytics-filen http://www.google-analytics.com/ga.js brukes som eksempel.

På grunn av denne sårbarheten har både Mozilla og Opera Software besluttet å deaktivere støtten for WebSocket sine respektive nettlesere.

Firefox får først støtte for WebSockets i versjon 4, som snart kommer i en åttende betautgave, mens Opera vil få støtte for WebSockets i versjon 11.

Deaktiveringen innebærer at brukerne aktivt må skru på WebSockets dersom det er behov for dette. Funksjonaliteten vil først bli aktivert som standard når sikkerhetsproblemet har blitt løst.

Også Google Chrome og Apple Safari har støtte for WebSockets og er like berørt av dette problemet som Firefox og Opera. Det samme gjelder forøvrig også Java og Flash Player. Men det er fortsatt uklart om også leverandørene av disse produktene nå vil deaktivere støtten for WebSockets.

Dagens utgaver av Chrome, Safari og Opera, samt Firefox 4 beta, støtter versjon -76 av protokollen, men enkelte eldre utgaver av Chrome og Safari støtter versjon -75. Dette, samt at protokollspesifikasjonen fortsatt ikke er stabil, har skapt visse utfordringer som er omtalt her.

Videoen nedenfor ironiserer litt over dette forholdet.

Til toppen